詐欺師はBEC攻撃でOffice365 MFAをバイパスします:Microsoft

伝えられるところによると、Microsoft 365 Defenderの研究者は、最近のビジネス電子メール侵害キャンペーンの背後で詐欺師が利用しているクラウドベースのインフラストラクチャを破壊しました。

このキャンペーンでは、攻撃者はフィッシングを通じて標的のメールボックスを侵害し、電子メール照合転送ルールのさまざまな機密情報を盗み出し、金融取引に関するメッセージにアクセスできるようにしました。

Microsoft Threat IntelligenceCenterのセキュリティ研究者であるNickCarr氏は、「複数のWebサービスでホストされている攻撃者インフラストラクチャを使用することで、攻撃者はBECキャンペーンの特徴であるステルス操作を行うことができました」と述べています。

彼はまた、「攻撃者は、さまざまなIPと時間枠に対して個別のアクティビティを実行したため、研究者が一見異なるアクティビティを単一の操作として関連付けることが困難になりました」と述べています。

マイクロソフトの研究者は、被害者のメールボックスへの最初のアクセスから永続性を獲得し、電子メール転送ルールを通じてデータを盗むまで、最近のBECインシデントの背後にある完全な攻撃フローを明らかにしました。

ログインクレデンシャルは、ターゲットユーザーをマイクロソフトのサインインページのように見えるランディングページにリダイレクトし、個人情報を入力するように求めるフィッシングメッセージによって盗まれました。

侵害された受信トレイから盗まれた資格情報は多要素認証を有効にすることでブロックされますが、ターゲットがレガシー認証をオフに切り替えられなかった場合、攻撃者はレガシープロトコルを使用して電子メールを盗み出し、ExchangeOnlineアカウントのMFAを回避することを発見しました。

攻撃者はまた、Microsoftによって中断されたクラウドベースのインフラストラクチャを使用して、大規模な操作を自動化しました。

同社は、詐欺師が複数のクラウドプロバイダーに属する複数のIPアドレス範囲から発生したBECアクティビティを使用していることを発見しました。